组织中的信息安全管理.doc

组织中的信息安全管理 　　摘要：在当今全球互联经济中，信息安全问题已成为世界主要组织关注的最为复杂的问题之一。由于对信息的依赖不断增强，信息的资本价值显著增加，它成为股东价值的很大一部分。想要获得竞争优势的组织都把信息安全作为其关注的焦点。 　　很明显，信息是业务的推动者。在当今信息经济下，没有有效的信息安全作保障，一个企业能正常经营几乎是不可能的。没有有效安全保障的组织与有安全保障的同行相比就更容易受到安全威胁。为了保证业务流程持续进行，信息安全就成了组织的不二之选。 　　本文的目的是说明信息安全的重要性和它的价值。本文认为，信息安全不仅是一个技术问题，更是一个管理问题。强调了信息安全管理架构及其重要性。本文讨论了为确保信息安全，组织应遵循的程序。它的深度聚集是组织制定其独特的安全策略文件。 　　关键词：信息安全；信息安全管理系统；技术；安全管理 　　1 引言 　　多亏了互联网的广泛应用，让世界变成了地球村，在这里鼠标轻轻一点，能让一个想法抵达全球范围内的数十亿人。信息对组织的好处无疑是巨大的。由于产品与市场的全球化，信息是当前企业和经济的驱动力。互联网扩大了信息的可用性，使之成为一个最有价值的信息来源和信息传播手段。随着虚拟交易的全天候运作，由地理位置所带来的屏障正在开始消退。组织对信息依赖的不断增强进而导致了对信息规范（机密性、完整性和可用性）的依赖。 　　全球互联与信息可用性虽然积极影响着世界，但也构成了真正的危险。互联世界为人们提供了带来人生转折的机遇。另一方面，个人行为也有可能造成严重的损害。信息经济的发展与高速增长也引发了信息安全的紧迫性。另外，组织也面临高等风险和漏洞的威胁。由于数据泄露或信息丢失让组织经历巨大损失的故事在新闻和出版物中都有记录。大多数高管和中层管理人员认为他们的组织是完全安全的。严酷的现实是：每个组织都会受到攻击，区别只是时间和严重程度的问题。 　　复杂性是当今用于描述信息安全的用词。信息安全的主要目标是保护信息的机密性、完整性和保证信息基础设施的可用性。它关系到保护信息不被随意或蓄意滥用。健全的信息安全管理成了新的迫切需求。本文的主要目标是：探讨高管和中层管理人员所要考虑的管理策略和程序，同时建立全球公认的信息安全最佳实践。虽然本文涉及技术问题，它更关注围绕信息安全的管理问题，而不是技术问题。因此，本文适合依赖信息的组织的董事会、股东、高管及中层管理人员参考。 　　在信息安全管理系统架构下，最高管理层由董事会、高管和股东组成。最高管理层只有完全致力于监管其发展，组织才能达到预期的安全目标。为了识别投机风险，消除或降低它到可接受的程度，就有必要进行风险分析和风险管理。组织的策略规定了在特定情况下，所应采取的正确措施。本文进一步规定了为确保物理及网络安全所应采取的不同措施。应该观察日常活动和维护情况，并在一定时间后，决定是否需要再进行一次风险分析。 　　2 信息的价值 　　组织和个人都会有需要加以足够保护的敏感信息。组织理所当然地拥有其员工、预算、财务报告和经营战略的详细信息。为了获得竞争优势，组织有研究报告，商业秘密和其他形式的敏感数据。信息被视为当今企业的生命线。？组织对信息的依赖程度正在迅速增加，对某些组织而言，信息的损失就意味着生意的损失。个人会在电脑上执行各种任务，如网上购物、网上银行和访问社交网络。因此，他们电脑上包含的关键个人信息需要受到保护。 　　如果不对信息加以足够保护，让未授权人员访问，那么就会出现信息安全漏洞。信息泄露会导致严重后果。对于一个组织而言，信息泄露通常会造成严重的财务损失，昂贵的法律诉讼，损害声誉，以及最坏情况下的企业生意丢失。？个人信息泄露的后果是身份被盗、财务损失及信用评级的损害。信息泄露的恢复需要花费很多年，其相应的经济损失也是巨大的。 　　泄漏和数据丢失事件，现在已成了所有类型和规模的组织不可避免的现象。当大量的数据在各种存储设备和服务供应商那里积累时，企业应高度警惕即将到来的损失。？当信息泄露发生时，企业的目标就会陷入停顿状态。例如仅2013年就有约1亿1千万条的信用卡和借记卡记录被泄漏。这一事件曝光了信息泄漏所带来的损害范围：从业务瘫痪、巨大的财务损失到消费者的投诉。发行上述信用卡和借记卡的银行也成了这一事件的受害者。2014年，Ponemon Institute进行了一项对网络犯罪的研究，量化网络攻击对经济的影响。这项研究在美国，英国，德国，澳大利亚，日本，法国和俄罗斯进行。这项研究的结果已经确定，最高的数据泄露的总成本是1270万美元，最低的是330万美元。这项研究涉及257个组织，平均每年的费用是760万美元，与2013年相比，增长了10.4%。很明显网络犯罪在上升，上述六个国家由于网络犯罪引发了净成本比上一年